19.09.2001, среда

 

Павел Вороненко: Информационная безопасность в России - это "дитя о семи няньках"

Своими оценками тенденций рынка ИБ в России и в мире с CNews.ru поделился Павел Вороненко, руководитель практики информационной безопасности компании IBS.

Корр.: Как давно компания занимается разработкой и внедрением систем информационной безопасности? Почему IBS решил выйти на этот рынок?

Павел Вороненко: Этот вопрос нам часто задают заказчики. Особенно те, которые ранее не сотрудничали с IBS. Ответ на него очевиден. Компания, которая занимается сетевыми технологиями, всегда сталкивается с вопросами обеспечения безопасности.

IBS изначально, как компания, в которой сетевое направление всегда занимало одно из первых мест, решала вопросы безопасности в комплексе работ по созданию сетевых систем. Уже несколько лет существует отдел, который занимается пограничной с задачами обеспечения защиты информации и поддерживающей инфраструктуры и, конечно же, вопросами построения и эксплуатацией сетевых инфраструктур, областью - системным управлением.

Буквально в начале прошлого года руководство компании, рассматривая возможные пути развития, обратило внимание на то, что объем работ, выполняемых в сфере безопасности соизмерим, а зачастую и превосходит, объем работ компаний, которые специализируются только на информационной безопасности. Наш статус и набор регалий в этой сфере сегодня мало кем повторяется: самая высокая степень партнерства с Cisco по безопасности, Symantec, есть уникальные соглашения с BMC Software. Кстати многое из того, что продается под маркой ВМС, пишется программистами IBS.

Если сравнить число сертифицированных специалистов, то далеко не каждая компания может похвастаться таким списком: Check Point, ISS, Nortel - и это только по решениям, которые мы используем намного реже других. Мы понимаем необходимость наличия в компании разносторонне подготовленных профессионалов, а следовательно средства выделялись, люди обучались и сертифицировались. Для нас направление информационной безопасности с одной стороны новое, так как формально самостоятельным стало только в начале этого года, с другой же стороны, технологии и решения внедрялись давно. Среди наших заказчиков, например, ФАПСИ, которым мы делали проект в этой сфере.

Корр.: Выходит, что можно ставить знак равенства между потребителями сетевых решений и потребителями средств информационной безопасности?

П.В.: В течение многих лет это было именно так. Компании приходили к безопасности двумя путями. Все зависит от роли службы безопасности в самой организации. Если информационная безопасность находится под влиянием и под ответственностью IT-структур, то компания приходит к осознанию необходимости информационной безопасности через сетевые технологии. Что касается крупных организаций, значительная доля собственности которых находится или находилась в собственности государства (причем, стоит заметить, что крупные монополии часто являются государствами внутри государства), то здесь традиционно сильны позиции службы безопасности. Зачастую такая структура подчиняется непосредственно первому руководителю. В этом случае расширение системы информационной безопасности - это средство расширения влияния на процессы, происходящие во всей организации. Именно в этом году происходит особое обострение конфликтной ситуации, когда информационная безопасность становится "дитем о семи няньках". Безопасностью занимаются и управленцы, и администраторы сетей, и те, кто курирует стратегическую безопасность.

И все же большинство предприятий приходят к необходимости внедрения систем ИБ (в первую очередь безопасности общения с "внешним миром") через технологии, с подключением к интернету, с установкой межсетевых экранов и так далее.

Корр.: Кто основные потребители решений в сфере ИБ на российском рынке? Существуют ли отличия в этом вопросе между Россией, странами Европы и США?

П.В.: Массовое развитие безопасности в России началось лет пять назад. Началось с финансовых институтов и в первую очередь с банковского сектора. Тут наиболее сильные специалисты и наиболее сильные позиции у служб информационной безопасности. Второе очень сильное направление, в силу разных причин - сектор федеральных и муниципальных госструктур. Это обусловлено требованиями законодательства, возможностью использовать многие разработки и интересом многих ведомств к передовым технологиям. Так, очень много удачных попыток внедрения передовых систем в налоговых структурах, в московских муниципальных учреждениях. Очень сильно развито это направление в газо- и нефтедобывающих компаниях. В последнее время, большое внимание ИБ уделяют организации, занимающиеся провайдингом: ASP, ISP.

Корр.: Какую долю занимают интернет-предприятия и онлайновые подразделения оффлайновых компаний в потреблении решений в сфере ИБ? Все те, кого принято определять как "и-бизнес"? Насколько сильно кризис дот-комов отразился на западных поставщиках решений в сфере ИБ?

П.В.: Имел место перегрев. Все ожидали "чудо-сказки", а столкнулись с тем, что развивать электронный бизнес возможно только тогда, когда внутри все налажено.

Что касается "новой экономики", то, по нашим данным, в мире, в том числе в России (хотя в России немного своя специфика), интернет-бизнес набирает все большие обороты. И если первоначально это было связано с ростом рынка персональных услуг (В2С), то сейчас наблюдается сильное смещение в сторону взаимоотношений между организациями (В2В). Эти технологии внедряются очень активно, но успешно в основном там, где проведен какой-то реинжиниринг структуры всего бизнеса.

Кризис отрасли нанес определенный урон и на рынке России. Число компаний, на волне интереса пытавшихся влезть в этот бизнес, уменьшилось. Хотя изначально серьезные деньги были только в сегменте В2В. Для России сильным сдерживающим фактором является отсутствие правовой базы, позволяющей использовать эти решение. Кроме того, это не только непризнание ЭЦП, отсутствие регламентации по каким-то спорным моментам, но и отсутствие средств, которые при наличии законодательной базы позволяли бы реализовывать полноценные системы защиты.

По нашим данным, и ЦБ, и Налоговая служба, и многие муниципальные структуры выходят на рынок электронного бизнеса (не коммерции, а бизнеса). Через портальные технологии, через веб-концентраторы информационные потоки собираются в целостные системы. Это происходит, естественно, там, где элементы защиты необходимы. Для России рост в этой области очевиден.

Корр.: Тем не менее, доля в потреблении решений ИБ этим сектором мизерна и, видимо, пропорциональна его доли в бизнесе в целом. Это так?

П.В.: Я бы не сказал. Компании, которые занимаются исключительно электронным бизнесом, действительно, имеют очень малую часть в потреблении средств защиты. Компании же, которые расширяют свой "оффлайновый" бизнес с помощью электронных технологий потребляют довольно много. Другое дело, что многие начинают устанавливать системы, рассчитанные, в первую очередь, на защиту от угроз извне, несмотря на то, что угроз изнутри гораздо больше. К пониманию комплексной защиты приходят только потом. Мы считаем сегмент интернет-бизнеса очень перспективным.

Корр.: В чем разница услуг системного интегратора IBS, компаний разработчиков и других участников рынка ИБ?

П.В.: Может быть это очень рекламно звучит, но IBS изначально занял позицию, очень привлекательную для заказчика. Мы как интегратор не занимаемся разработкой собственных продуктов. Это направление выделено в отдельную компанию, которая независима от нас. Хотя она и входит в холдинг, мы вправе использовать или не использовать их решения, так же как и решения любого другого производителя. Для меня люди, работающие в разработке, являются сторонней компанией. Да, они сидят на втором этаже в этом здании, но не более того. С ними я заключаю точно такое же вендорское соглашение, как и с остальными поставщиками.

При этом наша компания большая и довольно миролюбивая. В области безопасности мы сотрудничаем с 90% поставщиков, присутствующих на рынке ИБ. Это и компании, занимающиеся консалтингом и, конечно, разработчики. Для нас задача продажи какого-то продукта не столь важна. Большее значение имеет потребность конкретного клиента. Наша основная работа лежит в сфере консалтинга. Больший акцент делается на вопросах интеграции, ведь разработка концептуального подхода более важна, чем сам продукт. Поэтому с одной стороны мы выходим на рынок, где достаточно плотная конкуренция, между сильными игроками. С другой стороны, используя их решения в качестве кубиков, мы умело добавляем другие кубики, строим из них уже "строения". Кирпичные заводы очень редко строят здания - это для них другой, инородный бизнес.

Среди компаний, играющих на рынке защиты информации, есть ряд фирм, для которых это является единственным бизнесом. Хорошо это или плохо для конечного заказчика? Все зависит от класса задач, которые он хочет решить. Когда речь идет о развертывании антивирусного продукта или межсетевого экрана, например, то компании данного класса справляются с задачей достаточно хорошо. Но когда речь идет о решении для организации, имеющей сложную структуру (филиалы, различные регионы) и использующие различные подходы к обеспечению бизнеса в плане ИТ-решений, все значительно усложняется. Что же говорить о случаях (а мы с этим сталкиваемся, все чаще и чаще), когда потенциальный потребитель хочет иметь не просто средство "реагирования на вторжения", а средство управления информационной безопасностью всей организации. И при этом для него важно, чтобы система, например, SAP R/3, была тоже "охвачена" системой корпоративного контроля. Тут уж точно без соответствующей экспертизы не обойтись.

Есть компании, для которых разработка систем безопасности является одним из направлений бизнеса. Такие компании на наш взгляд проигрывают нам тем, что, занимаясь разработкой своего продукта, заняты исключительно продвижением его на рынок. Можно называть себя интеграторами, консультантами, но если у тебя есть свой продукт, который ты продвигаешь (а для чего иначе ты его разрабатываешь?), ты его почти всегда и ставишь. И во многих проектах в сфере ИБ в России именно так и происходит. Зачастую, решение можно предугадать заранее, до тендера, до конкурса. У нас же много поставщиков. В плане затрат для клиента их решения зачастую одинаковые. Поэтому мы можем более объективно строить решения, оценивая реальные потребности клиента. Основное отличие в этом.

Корр.: А есть статистика по использованию ваших собственных решений и решений от других поставщиков?

Решения, которые разрабатываются компанией, входящей в холдинг IBS - рассчитаны на очень крупных клиентов. Это фактически решение по классу близкое к IBM/Tivoli или к НР/OpenView, но с большим уклоном в область мэйнфреймов. Эти решения используются, но у большинства клиентов понимание безопасности пока предполагает решения рангом несколько ниже, я имею в виду уровень мейнфреймов.

Корр.: На какие основные элементы вы рассчитываете, когда строите ваши решения?

П.В.: Если идти с самого низкого уровня, связанного с управлением и инфраструктурой в области ИБ, то мы опираемся на два базовых решения. Первое - Tivoli SecureWay, а второе - система на основе продуктов компании Hewlett-Packard. Сейчас более внимательно присматриваемся к решениям Computer Associates.

Второй уровень - уже более прикладной - это решения компании Cisco, Symantec, "Элвис Плюс" и некоторых других российских компаний.

Самый верхний уровень - это решения класса PKI. На сегодняшний день это либо ENTRUST, либо Baltimore. Хотя есть определенные контакты с RSA Security, с "Крипто-про", с другими российскими производителями. Например, нами отработано решение совместно с компанией РНТ.

Принципиально мы подразделяем все предлагаемые нами решения на два класса - решения типового бизнеса и решения крупного бизнеса. Крупный бизнес - это корпорации уровня "Газпром", например. Со сложной инфраструктурой, где много сложных решений в управлении, те же системы R/3. Для крупных информационных систем обычно мы делаем специализированные решения. Для большинства остальных наших заказчиков чаще всего подходят - базовые. Но речь не идет ни в коем случае о простом перемещении "коробок" от производителя к заказчику. В каждом случае подразумевается полный цикл работ.

Корр.: По утверждению многих участников рынка, сегодня ни одна компания на рынке не готова поставлять весь спектр решений в сфере ИБ. Согласны ли вы с этим утверждением?

П.В.: Отчасти. Потому что ни одна компания, или, во всяком случае, очень мало компаний в России, которые взяли бы на себя ответственность за целую линейку. Нет ни одной компании в России, которая имела бы собственную линейку целиком. Взять любого разработчика: "Элвис Плюс", "Информзащита", Jet Infosystems, "СигналКом", "Инфотекс". Кто угодно. У них есть набор определенных элементов (к слову, очень неплохих элементов), которые они достраивают, используя решения других вендоров. Но компаний, собирающих действительно полную линейку, построенную, в том числе из кубиков сторонних разработчиков, всего несколько. Тут важно, готова ли компания взять на себя ответственность за целостное решение. Мы, со своей стороны, берем на себя ответственность за взаимоотношения с вендорами, между вендорами, решаем вопросы стыковок, подготовки системы до уровня сертификации и аттестации.

А что касается производителей "не российского происхождения", то формально наиболее полные линейки имеются у компаний Symantec и Network Associates. В их линейках есть часть продуктов от других поставщиков, но эта часть относительно невелика.

Корр.: Как проходит определение лучших продуктов ИБ в своем классе? Кто и как у вас проводит экспертизу и делает оценки?

П.В.: У нас для этого есть несколько возможностей: собственная лаборатория, оснащенная по "последнему слову" и очень большой полигон - совместное предприятие DATA FORT, в оборудование которого вложены миллионы долларов. На основе этой технической базы мы развернули многие решения, которые предлагаем заказчикам. Отчасти этот полигон используется как рекламная площадка, с другой стороны, сопоставимая сумма вложена в нашу собственную лабораторию, где мы выделяем много средств и ресурсов для тестирования средств в сфере ИБ. В период создания нашей лаборатории большое значение имело соглашение с компанией IBM, поставившей нам два сервера, которые по производительности не имеют равных: в Европе только две подобные машины - и обе у IBS. Мы успели на первую партию с завода. Это абсолютно новые, очень дорогие в производстве системы. Спрос на них большой. Не смотря на то, что это сложное решение уровня high-end. Сейчас на них развернуты практически все приложения, которые мы предлагаем для крупных заказчиков, это R/3, Tivoli SecureWay, PKI/ENTRUST, ряд других.

Но все-таки основной ресурс любой компании - ее персонал. Уровень наших экспертов позволяет с уверенностью заявить, что мы готовы провести тестовые сравнения очень сложных решений и продуктов. Кроме того, идет проект исследований PKI - решений, т.е. решений для организации инфраструктур управления открытыми ключами. Мы взяли решения пяти ведущих западных компаний и практически всех российских производителей. Построили очень сложную структуру, потенциально подходящую под наиболее крупных заказчиков, по договоренности с ними и с учетом их пожеланий. Результаты мы готовы публиковать, как только завершится хотя бы половина тестирований, чтобы их можно было бы сравнивать. Далее эту экспертизу мы показываем заказчикам и объясняем, чем одно решение хуже или лучше другого и в какой именно ситуации, для какого класса задач.

Кроме того, сейчас проходит подобное исследование по средствам фильтрации почтовых потоков, веб-контента и веб-контроля. В России, к сожалению, серьезные решения делает только один разработчик. Поэтому, неплохо зная продукты, рожденные в России, мы взяли порядка пяти решений западных поставщиков, которые по различным оценкам являются лучшими. Проводим экспертизу, оцениваем. Позиция такова - мы стараемся брать базовый комплект в том виде, как этот продукт традиционно предлагается на рынке. Наши инженеры проводят испытания по установке: как ставится, насколько документация подходит, пытаются провести работу по некорректной установке, по-другому поставить или нарушить какие-то условия. Все это позволяет нам давать объективные оценки продуктам.

Корр.: Могли бы вы выделить области, где российские разработчики средств ИБ традиционно сильны?

П.В.: Российские решения всегда были сильны в области криптографии. Наш стандарт и его реализации, с точки зрения математики, всегда были сильными и, понятно, что его реализуют только российские компании. Неплохая реализация у "Крипто-про". "Верба" всегда была реализована очень хорошо. Несколько особняком с точки зрения легальности стоит компания Лебедева ("ЛАН-Крипто", прим. ред.), где на высоком уровне реализовали практически все популярные алгоритмы, существующие в мире.

В области антивирусной защиты "Лаборатория Касперского" действительно предлагает очень сильные решения. Другое дело, что им тяжело конкурировать с западными поставщиками, потому что денег они столько вложить не могут (но это мое личное мнение, может быть оно и ошибочное). Если найти инвестиции и построить эффективную систему продвижения, то они и коммерчески будут очень на уровне. Сейчас в России довольно большая часть рынка принадлежит им. Мы для своих решений на паритетных началах берем продукты Symantec и Касперского, смотрим на решения и других производителей. Неплохие пакеты в сфере антивирусной защиты для UNIX у "ДиалогНауки". Network Associates рынок UNIX-технологии упустила.

Кроме того, в России всегда была очень сильна физическая защита зданий, что частично также можно отнести к рынку ИБ.

Корр.: По мнению некоторых участников рынка, в последнее время в России наблюдается некоторое снижение интереса к информационной безопасности как таковой. Говорят, что ввиду отсутствия серьезных попыток взломов многие компании (прежде всего банки) стали сокращать бюджеты на эту статью. Вы подтвердите эту тенденцию?

П.В.: Россия здесь идет в ногу со всеми. С одной стороны, нельзя отделять рынок информационной безопасности от рынка IT вообще. Естественно, если рынок "проседает" и переживает определенный спад, то это касается и рынка ИБ. При этом, для России это еще более характерно, так как решения в сфере ИБ всегда финансировались по остаточному принципу. Есть бюджет IT, в нем отдельной строкой заложена безопасность информационных ресурсов, поддержки инфраструктуры. Когда бюджета не хватает, обычно урезают именно эти части. Да, пожалуй, до кризиса банки уделяли этому больше внимания.

С другой стороны, компании стали экономить именно на закупке средств в виде "коробок". В России, наконец-то, наблюдается рост понимания необходимости комплексных решений, решений проектных. Реализация "с листа", когда покупали продукты, а потом пытались их прикрутить куда-то, в своем массовом проявлении заканчивается. Бюджеты крупных организаций не только не уменьшились, а наоборот увеличились. Что очень приятно осознавать. Для России "русский авось" действует во всем. Если инженер плохо сеть настроил и каналы работают не достаточно хорошо, это видно всем. Когда же защита реализована не в полной мере, то это может быть и незаметно. Часто, пока вирусы не "убили" половину файлов или не были зафиксированы другие нарушения ИБ, многие не пытаются что-либо делать. Действительно есть некоторая спонтанность в принятии решений, особенно в средних компаниях. В крупных структурах эта проблема решается либо своими силами, либо силами крупных интеграторов.

Корр.: То есть остаточное финансирование пока сохраняется как явление?

П.В.: Я по просьбе одной газеты пытался посчитать, насколько остро стоит эта проблема за рубежом. В мире сейчас этот рынок составляет около 7 миллиардов долларов, а потребность - 15 млрд. То есть проблема недофинансирования имеет место и там. В России недофинансирование 70%, наверное. Если не считать антивирусы и "железо", то рынок ИБ 2000 года в России - 15 максимум 20 млн. долларов, а потребность под 100 млн. точно есть. В этом году рынок, скорее всего, удвоится, а то и утроится. Предвыборные гонки закончились и в регионах выборы прошли. Многие приступили к решению насущных проблем.

Корр.: Насколько важно принятие решений об ЭЦП? Есть утверждение, что для банков, например, этот документ не имеет никакого значения, так как все возможности использования электронной подписи регулируется инструкциями ЦБ в достаточной степени.

П.В.: Я думаю, что закон нужен. Можно и по дорогам ездить без правил и договариваться на каждом перекрестке, кто повернет первым. И многие годы в мире так и было. Инспектор ГИБДД может вызывать раздражение, быть поводом для многих анекдотов, но его роль не оценить нельзя. А иронично-злое отношение совсем по другим причинам. Да мы все это знаем и так.

Корр.: И все же, наверное, не стоит ожидать шквального роста спроса на финансовые интернет-услуги после подписания Президентом этого закона?

П.В.: Шквального роста с принятием закона, конечно, не будет, но в бюджетах госструктур появится строка, связанная с необходимостью внедрения систем в этой области. Да, наш бюджет не наполняется в полной мере, и многие проекты остаются на бумаге. И все же это будет дополнительным рычагом стимулирования вложений на рынке, потому что разработчики будут пытаться привести свои решения в соответствие с этим законом. В этом плане эффект будет очевидным.

Корр.: Спасибо.



Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Toolbar | КПК-версия | Подписка на новости  | RSS